Dela via

Självstudie: Skapa en Log Analytics-arbetsyta för att analysera inloggningsloggar

I den här handledningen kommer du att lära dig hur man:

  • Skapa en Log Analytics-arbetsyta
  • Konfigurera diagnostikinställningar för att integrera inloggningsloggar med Log Analytics-arbetsytan
  • Köra frågor med hjälp av Kusto-frågespråk (KQL)

Förutsättningar

Om du vill analysera aktivitetsloggar med Log Analytics behöver du följande roller och krav:

Skapa en Log Analytics-arbetsyta

I det här steget skapar du en Log Analytics-arbetsyta, där du så småningom skickar inloggningsloggarna. Innan du kan skapa arbetsytan behöver du en Azure-resursgrupp.

  1. Logga in på Azure-portalen som åtminstone en säkerhetsadministratör med behörighet som Log Analytics-kontributör.

  2. Bläddra till Log Analytics-arbetsytor.

  3. Välj Skapa.

    Skärmbild av knappen Skapa på sidan log analytics-arbetsytor.

  4. Utför följande steg på sidan Skapa Log Analytics-arbetsyta :

    1. Välj din prenumeration.

    2. Välj en resursgrupp.

    3. Ge arbetsytan ett namn.

    4. Välj din region.

    Skärmbild av informationssidan för att skapa en ny log analytics-arbetsyta.

  5. Välj Granska och skapa.

  6. Välj Skapa och vänta på distributionen. Du kan behöva uppdatera sidan för att se den nya arbetsytan.

Konfigurera diagnostikinställningar

Om du vill skicka information om identitetsloggen till den nya arbetsytan måste du konfigurera diagnostikinställningar. Det finns olika alternativ för diagnostikinställningar för Azure och Microsoft Entra, så för nästa uppsättning steg växlar vi till administrationscentret för Microsoft Entra för att se till att allt är identitetsrelaterat.

  1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

  2. Bläddra tillInställningar för övervakning och> för >.

  3. Välj Lägg till diagnostikinställning.

    Skärmbild av alternativet Lägg till diagnostikinställning.

  4. Utför följande steg på sidan Diagnostikinställning :

    1. Tillhandahåll ett namn för diagnostikinställningen.

    2. Under Loggar väljer du AuditLogs och SigninLogs.

    3. Under Målinformation väljer du Skicka till Log Analytics och sedan din nya log analytics-arbetsyta.

    4. Välj Spara.

    Skärmbild av alternativen för att välja diagnostikinställningar.

Dina valda loggar kan ta upp till 15 minuter innan loggarna fylls i på Log Analytics-arbetsytan.

Köra frågor i Log Analytics

När loggarna strömmas till Log Analytics-arbetsytan kan du köra frågor med hjälp av KQL (Kusto Query Language). Den minst privilegierade rollen för att köra frågor är rollen Rapportläsare

  1. Bläddra till Entra IDÖvervakning & hälsaLogganalys.

  2. I textrutan Sök skriver du din fråga och väljer Kör.

Kusto-frågeexempel

Ta 10 slumpmässiga objekt från inmatningsdata

  • SigninLogs | take 10

Titta på inloggningarna där den villkorliga åtkomsten lyckades:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Antal lyckade resultat:

  • SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Sammanställt antal lyckade inloggningar per användare per dag:

  • SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Visa hur många gånger en användare utför en viss åtgärd under en viss tidsperiod:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Pivotering av resultatet efter åtgärdsnamn:

  • AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Sammanfoga gransknings- och inloggningsloggar med hjälp av en inre koppling:

  • AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Visa antalet inloggningar efter klientappstyp:

  • SigninLogs | summarize count() by ClientAppUsed

Räkna inloggningarna per dag:

  • SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Ta fem slumpmässiga poster och projicera de kolumner som du vill se i resultatet:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Ta de 5 översta i fallande ordning och projicera de kolumner som du vill se:

  • SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Skapa en ny kolumn genom att kombinera värdena till två andra kolumner:

  • SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Gå vidare

Skapa en anpassad arbetsbok